Si trabajas bajo Linux, puedes usar el sticky byte para que el script se llame con permisos de otro usuario y lo metes en una carpeta aislada con permisos solo para ese usuario.
Si estas bajo windows, rodaste... jejeje
Lo mas sano siempre es crear una carpeta de trabajo a especie de sandbox, que se regenere cada cierto tiempo, como hace la gente de
http://opensourcecms.com. Ellos ofrecen el demo totalmente funcional de los portales y como no pueden controlar que los usuarios sean una mierda y dañen los portales de demo, los regeneran pasado un tiempo.
Si vienen los web-ones y te dañan tu porción del sandbox, al menos no te dañan el resto...
Saludos